丝绸诱饵行动:中国金融科技企业遭恶意简历LNK文件攻击,ValleyRAT木马被植入
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
Seqrite实验室发现代号为"丝绸诱饵行动"的网络间谍活动,攻击者通过恶意简历渗透中国金融科技和加密货币企业,利用复杂的鱼叉式钓鱼技术和多阶段载荷,最终植入ValleyRAT木马进行数据窃取和系统监控。
🎯
关键要点
- Seqrite实验室发现代号为'丝绸诱饵行动'的网络间谍活动。
- 攻击者通过恶意简历渗透中国金融科技和加密货币企业。
- 使用复杂的鱼叉式钓鱼技术,伪装成求职者发送恶意.LNK文件。
- 诱饵简历完全使用简体中文编写,增加了可信度。
- 恶意LNK文件启动PowerShell命令下载其他恶意文件。
- 恶意软件通过计划任务建立持久性,伪装成微软进程。
- keytool.exe作为加载程序,解密并执行隐藏的shellcode。
- ValleyRAT木马用于系统指纹识别、键盘记录和数据外泄。
- 恶意软件能够管理受感染主机并执行多种命令。
- 基础设施分析将该行动的后端服务器与SonderCloud Limited联系起来。
❓
延伸问答
什么是丝绸诱饵行动?
丝绸诱饵行动是一起针对中国金融科技和加密货币企业的网络间谍活动,攻击者通过恶意简历进行渗透。
攻击者是如何利用恶意简历进行攻击的?
攻击者伪装成求职者,向企业发送包含恶意.LNK文件的简历,这些文件启动PowerShell命令下载其他恶意文件。
ValleyRAT木马的功能是什么?
ValleyRAT木马用于系统指纹识别、键盘记录和数据外泄,同时能够管理受感染主机并执行多种命令。
恶意软件是如何保持持久性的?
恶意软件通过创建名为'Security'的计划任务伪装成微软进程,以确保每天自动执行。
丝绸诱饵行动的后端基础设施与哪个公司有关?
该行动的后端服务器与SonderCloud Limited公司有关,该公司曾与网络犯罪活动有联系。
攻击者使用了哪些技术来提高攻击的成功率?
攻击者使用复杂的鱼叉式钓鱼技术,制作高度本地化的简历,增加了可信度。
➡️
